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(54) Precede de signature numerique a connaissance nulle, permettant d'elaborer une signature 
resistant aux collisions 



(57) La presente invention conceme les precedes 
de signature numerique dits a cle publique et connais- 
sance nulle, utilises pour elaborer des signatures nume- 
riques (S) jointes a des messages (M) a transmettre. Un 
precede de signature selon {'invention comprend une 
etape de transformation d'au moins un parametre clas- 
sique (a y) de la signature en un nouveau parametre 



(e\ y) de signature, consistant a combiner au moyen 
d'une fonction de combinaison reversible (Fc) le para- 
metre (e, y) a transformer avec un troisieme parametre 
(g(A//), h2) dependant du message (M) a signer. 
Avantages ; obtention d'une signature resistant aux col- 
lisions sans faire appei a une fonction de hachage re- 
sistant aux collisions et sans augmentation de la lon- 
gueur de la signature. 
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Description 

La presente invention concerne le domarne de la signature numerique de messages au moyen de tecliniques 
cryptographiques. La presente invention concerne plus parlicutieremenl les precedes de signature numerique dils ^ 
clef publique et a connaissance nulle (zero-knowledge). 

De tels precedes sont utilises pour la securisalion de la transmission d'informalions numeriques, et sont appiicables 
a tout type de communication entre syslemes eleclronlques, appareillages et instruments necessitant un certain niveau 
de securite. 

A litre d'exemple. la figure 1 represente deux systemes electroniques A et B utilisant un procede de signature 
numerique. Les systemes A et 8 peuvent etre des ordinateurs, des lelecopieurs, des telephones, une carte a puce et 
un systeme bancaire, etc. Ms communiquenl par Tintermediaire d'une ligne L el sont pourvus d'un microprocesseur 
MP. d'un circuit d'interface I pour acceder a ta ligne L, par example un modem si L est une ligne telephonlque, el d'un 
bloc de calcul CR pour elaborer ou verifier une signature numerique. Le bloc CR comprend un processeur arithmetique 
P. une memoire de travail ME Ml de type RAM, el une memoire programme MEM2 de type ROM. EPROM, ou EEPROM 
dans laquelle se trouvenl enregistres des algorithmes de cryptograpfiie permettant au processeur P d'elaborer une 
signature ou de verifier une signature regue. 

Le protocole suivi par A et B dans une procedure d'envoi d'un message Mest le suivant : 

le systeme qui emet le message M par exemple A, joint au message une signature numerique Sd'authentification 
de I'origine du message, generalement d'une longueur de 200 a 1000 bits. La signature S est un message crypte 
a deux parametres e et y elabore a partir d'un parametre secret appele cle secrete s. La signature S est de la forme : 

(1) S=(e.y). 

e el y etant les deux parametres de la signature, 

le systeme B, qui regoit le message M. verifie la validite de la signature Sau moyen d'une equation dite de veri- 
fication necessitant ia connaissance d'un parametre public du systeme signalaire. appele cle publique C 

De lets procedes d'elaboration/verification de signatures numeriques sont dits « a connaissance nulle >* car it est 
en principe impossible pour 8 de retrouver la cle secrete s de A, a partir de sa signature S el de la cle publique C. 
Parmi (es procedes les plus representatifs de I'etat de la technique, on peul citer : 

un procede de L.C. GUILLOU et J.J. QtJtSQUATER, decrit dans rarticle « A paradoxical identity-based signature 
scheme resulting from zero-knowledge », Advances of Cryptology Proceedings of CRYPTO 88. Lecture Notes in 
Computer Science. Vol. 403. pages 216-231, Springer-Verlag. Berlin. 1990. 

un procede de CP. SCHNORR decrit dans Tarticle « Efficient identification and signature for smart cards ». Ad- 
vances of Cryptolcgy. Proceedings of CRYPTO 89. Lecture Notes in Computer Science, Vol. 435, pages 239-252, 
Springer-Verlag, Eterlin, 1990. 

un procede de M. GIRAULT. auteur de la presente invention, decrit dans la demande de brevet frangais N° 
94 01271 du 04.02.1994 au nom de la demanderesse. 

De \agon generale, ces procedes reposent sur I'utilisation de fonclions dites « de hachage » dont une definition 
detaillee est donnee par la norme ISO/IEC 10118 editee en 1994 par TOrganisation Internationale de Normalisation 
(ISO) el la Commission Internationale d'Electrotechnique (lEC). De plus, un Registre des Algorithmes de Cryptographie 
(RCA) instilue par la norme ISO/IEC 9979. met a la disposition de I'homme du metier un certain nombre d'algorithmes 
de cryptographie conventionnels permettant de realiser des fonclions de hachage. 

On rappeilera en relation avec la norme precitee quelques notions fondamentales concernant les fonclions de 
hachage, les lermes figurant ci-apres en langue anglaise el entre parentheses etant des termes offtctellement utilises. 
Une fonction de hachage (hash-function) est un algorithme de calcul qui Iransforme une valeur d'entree se presenlanl 
sous la forme d'une chaine de caracleres binatres (data-string) de longueur quetconque, en une valeur de sortie, ou 
code de hachage (hash-code), se presentant sous la forme d'une chaine binaire d'une longueur determinee de k bits. 
Une fonction de hachage a sens unique (one-way hash function) est une fonction de hachage qui delivre un code de 
hachage a partir duquel il est en principe impossible de retrouver une des valeurs d'entree ayant pu conduire ^ ce 
code de hachage. Enfin, une fonction de hachage resistant aux collisions (collision-resistant hash-function) est une 
fonction de hachage avec laquelle il est en principe impossible de irouver deux valeurs d'entree distincles conduisanl 
a la meme valeur de sortie, c'esl-a-dire au meme code de hachage. 
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Ces notions etanl rappetees. on decira mainlenanl d*une maniere generale el en relalron avec la figure 2 les 
procedes de signature numerique a connaissance nulla classiques. La figure 2 est un organigramnne qui represente 
les etapes classiques d'elaboration et de verification d'une signature numerique. Le terme « signataire » designe le 
systeme qui emel un message signe (par exemple le systeme A de la figure 1) et le terme « verificateur »> le sysleme 
qui re^oit le message et verifie la validite de la signature (par exemple le systeme B). On distingue les etapes suivantes : 

etape 10 : le signataire calcule une valeur ca partir d'une valeur raleatoire (choisie au hasard). En cryptographie, 
cest appele valeur d'engagement de r dans la signature, car c est une valeur qui masque la valeur r. c'est-a-dire 
qui la dissimule. La methode permettant de catculer c est propre a chaque procede (par exemple GUILLOU- 
QUISQUATER, SCHfMORR....) et ne sera done pas decrile ici. 

etape 20 : le signataire calcule le premier parametre ede la signature au moyen d'une fonction de hachage fde 
k bits seton ta relation : 

(2) e 3 f(c.M) 

Le parametre e est ainsi un code de hachage d'une longueur k (c'est-a-dire comprenant k bits), calcule a partir du 
message Met de la valeur d'engagement a 

etape 30 : le signataire calcule le deuxieme parametre y (y(s, r. e)) de la signature, a partir de sa cle secrete s, 
de la valeur aleatoire ret du premier parametre a La methode de calcul permettant de determiner y est propre a 
chaque procede et ne sera done pas decrlte. mais on peut remarquer que de fagon classique le deuxieme para- 
metre yest fonction du premier parametre e. 

etape 40 : le signataire envoie le message M et la signature S = (e,y). 
etape 50 : le verificateur regoit le message /Waccompagne de la signature S. 

etape 60 : le verificateur controle la validite de la signature S. Cetle operation consiste generalement a recalculer 
la valeur du parametre e au moyen de I'equation de verification et de ta cle publique C deja evoquees, puis a 
s'assurer que la vaieur recalculee est identique a la valeur presente dans la signature S. 

De fagon classique. dans les procedes de signature a connaissance nulle du type qui vient d'etre decrit. la fonction 
de hachage f produisant le premier parametre e (relation (2), etape 20) est choisie a sens unique afin de verrouiller la 
signature et eviter que des tiers puissent produire des signatures valides en se substituant frauduleusement au signa- 
taire legitime. La fonction de hachage f est en outre choisie de maniere a satisfaire deux imperatifs pratiques 
contradictoires ; 

d'une part, le nombre de bits k du code de hachage e doit etfe suffisamment grand pour garantir I'inviolabilite de 
la signature, I'inviolabilite de la signature dependant de la comptextte de la fonction de hachage ^et la complexite 
de la fonction de hachage f de la longueur du code de hachage e, 

d'autre part, /cdoit etre suffisamment petit pour la longueur de la signature Sdemeure dans des proportions rai- 
sonnables. les etapes d'elaboration, de transmission et de verification de la signature devant etre realisees dans 
des temps assez brefs. 

Ainsi, dans la pratique, il est admis qu'un degre de securite suffisant est atteint avec une fonction de hachage a 
sens unique f produisant un code de hachage e d*une longueur inferieure a la cenlaine de bits, et plus precisement 
de 64 bits {k = 64) dans le cas des procedes SCHNORR et GUILLOU-QUISQUATER. 

Les procedes de signature classiques apportent done entiere satisfaction en ce qu'ils offrent un niveau de securite 
eleve centre des attaques exterieures provenant de tiers ne connaissant pas la cle secrete, tout en presentant I'avan- 
tage de produire des signatures d'une longueur raisonnable. 

Par ailleurs, la probabilite qu'une collision entre signatures se produise (e'est-a-dire que deux signatures identiques 
soient emises pour deux messages differents), est consideree dans I'etat de la technique comme suffisamment faibte 
pour satisfaire les besoins de la pratique. 

Toutefots, malgre cette faible probabilite de collision, la demanderesse s'est apergue qu'il demeure possible pour 
un ulilisateur anime d'une intention frauduleuse de creer volontairement une collision de signatures, en effectuant une 
recherche systematique de messages jusqu'a trouver deux messages ayant la meme signature. Des etudes ont montre 
qu'une telle recherche volontaire de collisions n'a rien d'hypothetique ou de theorique, puisqu'elle peut etre menee a 
bien avec des moyens de calcul d'une puissance qui n'est pas. de nos jours, irrealiste. Cela est particulierement genant 
dans la mesure ou les signatures numeriques ont la vocation de devenir d'ici quelques annees des moyens de preuve 
legaux qui devraient permettre de regler cerlaines situations liligieuses. A litre d'exemple, on considerera le cas d'un 
echange d'informations par telecopie. oii les systemes A et B de la figure 1 sont des telecopieurs, et ou A envoie a B 
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un message M correspondanl a Timage numerisee d'un document, accompagne d'une signature S. On considerera 
ensuite que B. apres avoir veritie la signature el imprime le document, efface I'image numerique de sa memoire et ne 
conserve que la signature S. alors que A. de capacite memoire superieure au telecopieur B. conserve en memoire le 
message M (te document) et la signature S. Si, par la suite, la preuve de renvoi du document doit etre rapportee, il 

5 est important que la signature conservee par B puisse permettre de retrouver dans A le message qui a ete transmis, 
et que toute conHance puisse etre portee au binome signature/message present dans la machine A. Toutefois, si 
I'utilisateur du telecopieur A peut trouver un message different de meme signature qui lui est plus favorable, il est en 
mesure de fausser la preuve remplagant a I'interieur de la machine A le message originel par le nouveau message 
accompagne de la meme signature. 

10 Pour eviter ce genre de fraude. il est done indispensable d'empecher qu'un utilisateur puisse trouver deux mes- 

sages differents ayant des signatures identiques. 

Une solution a la portee de I'homme du metier serait de realtser la relation (2) de I'etape 20 decrite ci-dessus au 
moyen d'une fonction de hachage A resistant aux collisions, au lieu d'utiliser une fonction de hachage a sens unique. 
Le parametre epresenterait alors I'avantage d'etre resistant aux collisions, mais cela aurait I'effet negatif d'augmenler 

'5 la taille de la signature, etant donne qu'une fonction resistant aux collisions necessite generalement la production d*un 
code de hachage d'une longueur double de ta longueur d'un code produit par une lonction a sens unique (on se ref erera 
notamment a la norme ISO/lEC 10118, partie 2, Annexe A) . En particulier une telle solution conduirait a un parametre 
e d*une longueur minimum de 1 28 bits dans le cas des procedes SCHNORR et GUILLOUOUISQUATER. 

Ainsi, un objet general de la presente invention est de prevoir un procede de signature numerique a connaissance 

20 nulle permettant d'elaborer une signature numerique resistant aux collisions. 

Un objet plus particulier de la presente invention est de prevoir un procede qui permette d'elaborer une signature 
numerique resistant aux collisions sans augmentation significative de la taille de la signature. 

Encore un autre objet de ta presente invention est d'atteindre ce resultat de fagon simple/en modifianl les procedes 
classiques de signature a connaissance nulle sans diminuer la securite offerte par ces procedes. 

25 Pour atteindre ces objets, la presente invention se base tout d'abord sur la constatation que, dans une signature 

classique S(e,y), le deuxieme parametre y est directement fonction du premier parametre e, de sorte qu'une collision 
sur e entraine obtigatoirement une collision sur yet une collision sur I'ensemble de la signature S. Ainsi, une premiere 
idee de la presente invention est de « briser » la liaison fonctionnelle qui extste entre e et y. Pour rendre la signature 
resistante aux collisions, une autre idee de la presente invention est de briser la liaison fonctionnelle entre e et y en 

30 iransformant au moins I'un de ces deux parametres en un nouveau parametre e' ou y obtenu par combinaison du 
parametre e ou y originel avec un troisieme parametre dependant du message Ma signer. Enfin, encore une autre 
idee de la presente invention est de realiser une telle transformation au moyen d'une fonction reversible, afin que le 
verificateur. a la reception de la signature, puisse retrouver aisement le parametre eou y originel et verifier de fagon 
conventionnelle la validite de la signature. 

35 Plus particulierement, la presente invention prevoit un procetJe pour elaborer une signature numerique resistant 

aux collisions, la signature etant destinee a accompagner un message a signer, comprenant des etapes d'elaboration 
d'un premier et d'un deuxieme parametres de signature, une etape d'elaboration d'un troisieme parametre dependant 
du message a signer, et une etape de transformation d'au moins I'un des premier et deuxieme parametres de signature 
en un nouveau parametre de signature, consistant a combiner au moyen d'une fonction reversible, le parametre a 

-io transformer et le troisieme parametre. 

Avantageusement, le troisieme parametre est choisi de longueur inferieure ou de meme longueur que le premier 
ou second parametre avec lequel il est combine. 

Selon un premier mode de realisation, le premier parametre est un code de hachage delivre par une premiere 
lonction de hachage a sens unique recevant en entree une valeur d'engagement d'une valeur aleatoire et le message 

■^5 a signer le deuxieme parametre est determine a partir du premier parametre, d'une cle secrete et de la valeur aleatoire, 
le troisieme parametre est un code de hachage delivre par une deuxieme fonction de hachage a sens unique recevant 
en entree le message a signer 

Avantageusement, les premiere et deuxieme fonctions de hachage sont identiques. 

Selon un deuxieme mode de realisation, le premier parametre est delivre par une fonction recevant en entree une 
50 valeur d'engagement d'une valeur aleatoire et une fraction d'un code de hachage delivre par une fonction de hachage 
resistant aux collisions recevant en entree le message a signer, le deuxieme parametre est determine a partir du 
premier parametre. d'une cle secrete et de la valeur aleatoire, le troisieme parametre est une autre fraction du code 
de hachage delivre par la fonction de hachage resistant aux collisions recevant en entree le message a signer 

Selon une premiere variante de realisation, la fonction delivrant le premier parametre est une fonction de hachage 
55 ^ sens unique. 

Selon une deuxieme variante de realisation, la fonction delivrant le premier parametre est la fonction OU EXCLUSIF 
calculee bit a bit. 

Avantageusement, la fonction reversible est la fonction logique OU EXCLUSIF calculee bit a bit. 
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Dans le precede de I'invenlion, les etapes d'elaboration du premier et du deuxieme paramelres de signature peu- 
venl elre realisees seion le precede de GUILLOU et QUISQUATER. ou selon le precede de SCHNORR. 

La presente invention concerne egalement un precede de verilication de la valldite d'une signature numerique 
elalx)ree selen le precede qui vient d'etre decrit. cemprenant une etape d'elaberatien du treisieme paramelre dependant 
du message a signer une etape censistant a ramener a sa valeur eriginelle !e neuveau parametre de signature en 
cembinant au meyen de la fonctien inverse de la fenclion reversible le neuveau parametre et le treisieme paramelre. 

Ces objets, caracteristiques et avantages ainsi que d'autres de la presente invention apparailrent plus clairement 
a la lecture de la description suivante de deux modes de realisation du precede de la presente invention et d'exemples 
d'applications de ces deux modes de realisation a des signatures de type SCHNORR et GUILLOU-QUISQUATER. en 
relation avec les figures joinles parmi lesquelles : 

la figure 1 represente schematiquement deux systemes eleclroniques auxquels peut s'appliquer le precede de la 
presente invention, et a ete decrite precedemment, 

la figure 2 est un organigramme representant un precede classique de signature numerique a connaissance nulle, 
et a ete decrite precedemment, 

la figure 3 est un organigramme representant un premier mode de realisation d'un precede de signature numerique 
a connaissance nulle selon Tinvention. et 

la figure 4 est un organigramme representant un deuxieme mode de realisation d'un precede de signature nume- 
rique selon I'invention. 

Premier mode de realisation de {'invention 

La figure 3 represente les etapes d'un precede selon la presente invention, certalnes etapes etant declinees en 
deux variantes. Les references utilisees pour designer les etapes du precede sent celles de la figure 2 pour les etapes 
classiques, et sent des references intercalaires pour les etapes rajoutees par la presente invention. Le precede de la 
figure 3 est susceptible d'etre mis en eeuvre par toute machine de structure classique utilisant deja un precede de 
signature numerique, par exemple les systemes eleclroniques A et B de la figure 1 . 

On distingue les operations realisees par le signataire, par exempte le systeme A, et les operations realisees par 
le verificateur, par exemple le systeme B. 

Operations realisees par le signataire 

etape 5 : calcul de g(M) 

Cetle etape consisle a calculer un parametre dependant du message M a emettre. Selen le present mode de 
realisation de I'invention, ce parametre est un code de hachage g(M) calcule au moyen d'une fonctien de hachage g 
a sens unique recevant en entree le message M. 

etape 10 : calcul d'un engagement c d'une valeur rcheisie au hasard. 
etape 20 : calcul du premier parametre ede la signature : 

e= f(c,M) 

etape 30 : calcul du deuxieme parametre y(s,r,e) de la signature, a partir de la cle secrete s. de la valeur aleatoire 
ret du parametre e 

Ces trois etapes 10, 20, 30 sent classiques et ont deja ete decrites au preambule. 

etape 35/varlante 1 : calcul de e' = e Fc g{M) 
/variante 2 : calcul de y - y Fc g{Mj 

Cette etape est declinee en deux variantes. II s'agil ici de combiner au moins Tun des parametres e ou y de la 
signature avec le parametre g(M) dependant du message M, au moyen d'une fonctien de combinaisen reversible Fc, 
afin d'obtenir un neuveau paramelre e* ou y de signature. 

etape 40/variante 1 ; envoi de /Wet de 5= (e'y) 
/variante 2 : envoi de /W et de S = (e^y) 
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Celle etape est en eUe-meme classique mais se distingue de I'art anlerieur en ce que la signature Scomprend au 
moins un des deux parametres modifies e" ou y dependant du message M et n'ayant plus de lien fonctionnel direct 
avec I'aulre parametre you e. 

s Operations reallsees par le verificateur 

etape 50 : reception du message Mel de la signature S 
etape 51 : calcul 6e g{M) 

10 Celte etape 51 de calcul du parametre g(M) permet de preparer I'etape suivante 55. 

etape 55/variante 1 : calcul de e - e' Fc ' g{M) 
/variante 2 : calcul de y= y Fc' g{M) 

'5 Cette etape permet au verificateur de retrouver le parametre originel eou y, grace a la propriete de reversibilite 

de la (onclion de combinaison Fc, dont la fonction inverse est FcK 

etape 60 : verification de S. 

20 Cette derniere etape est classique et consiste a verifier la validite de e, a parlir de y, la cle publique C et I'equation 

de verification deja menlionnees au preambule. 

Une troisieme variante qui n'a pas ete representee en figure 3 consiste a transformer a !a fois e en e" et y en y. 
Cette troisieme variante peut etre realisee en combinant e et y a g{M) (dans ce cas le procede de Tinvention comprend 
la somme des operations de la variante 1 et de la variante 2). ou en combinant ea une premiere fraction g1 de g(M) 

25 et y a une deuxieme fraction g2 de g(M), le terme « fraction » etant compris au sens large comme cela sera explique 
plus loin en relation avec le deuxieme mode de realisation de la presente invention. 

Dans le mode de realisation qui vient d'etre decrit, la fonction g peut etre choisie quelconque et par exemple egale 
a la fonction ^classique utilisee a Tetape 20 pour calculer le premier parametre ede la signature. Dans un souci de 
securite, on pourra s'assurer qu'il n'existe aucun risque de collision simultanee entre g et f, c'est-a-dire qu'il ne peut 

30 exister deux messages distincts Ml, M2 pouvant simultanement produire les collisions suivantes : 

g(M1) = g(M2), 

35 et 

f(c,M1)^ f(c,M2) 

40 Toutefois, dans la pratique, meme si g est choisie egale a un tel cas de double collision ne doit pas se produire pas 
si Ton applique la fonction ( au parametres c et Mselon Tordre de hachage convenlionnel c,/W(et non pas M,c). 

Les avantages de la presente invention apparaissent maintenant clairement. Considerons deux signatures de Tart 
anterieur Si, S2 relatives a deux messages Ml. M2 : 



45 



50 



SI = (e1,y1):S2= (e2,y2) 

Trois possibilites de transformation de ces signatures sonl offertes. correspondant aux trois variantes de la presente 
invention : 



a) transformer SI en S1'(e1\y1), e7'etant egal a f(c,M1) Fcg(MI), et transformer S2en S2'(e2',y2), e2 etant egal 
a f(c,M2) Fc g(M2), 

b) transformer SI en S1'(ehyr),yr etant egal a y1 Fcg(MI), et transformer S2en S2'(e2,y2'), y2' etant egal k y2 
Fcg(M2). 

55 c) transformer SI en Sr(e1\y1') et S2en S2'(e2\y2'). 

Considerons ensuite deux cas possibles de collisions : 
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Collision sur f \ f(c,MV- f(c,M2) 

Dans ce cas e1 - e2- f(c.M1)- f(c.M2) d'une pari, el y1 - y^d'aulre pari. La collision s'elend aux deux signatures 
5 classiques SI el S2. qui prennenl la (orme de deux chaines binaires identiques. Par contre. grace a la presenle in- 
vention, el quelle que soil la varianle a), b) ou c) choisie, il ne peul y avoir de collision enlre les signatures S7'el S2' 
puisque la fonclion g et la fonction / ne peuvenl elre simultanement en collision. 

Collision sur g : g(M1) - g(M2) 

Dans ce cas. il ne peut pas non plus y avoir de collision entre ies signatures SVei S2 selon Tinvention puisque g el 
/ne peuvenl elre simullanement en collision. 

En definitive, on voil que la presenle invention apporte une solution simple pour elaborer une signature S resistant 
aux collisions sans necessiter I'emploi d'une fonclion de hachage / resistant aux collisions. 

De preference, la fonction g est choisie de maniere que le troisieme paramelre g{M) soil d'une longueur inferieure 
ou egale a celle du parametre e ou y avec lequel il est combine. Dans ces conditions, le paramelre modifie e'ou y 
presenle sensiblemenl la meme longueur que eou y, ce qui constilue un autre avantage de la presenle invention. 

Par ailleurs. on peut cfioisir comme fonclion de combinaison Fc la fonclion OU EXCLUSIF calculee bit a bit, dont 
la fonclion inverse est egalement la fonclion OU EXCLUSIF. Dans ce cas= le paramelre modifie e'ou y presenle 
exactement la meme longueur que eou y. Si g{M) est d'une longueur inferieure a celle du parametre a modifier eou 
y , on peut utiliser pour combiner g(M) au paramelre a modifier une methode classique dite « de remplissage »» (padding 
method), de preference la premiere methode decrile en annexe Bde la.norme ISO/I EC 10118-1. 

Egalement. et comme on le verra plus loin, la fonction Fc peut elre une fonction arithmetique. Dans ce cas, des 
melhodes classiques de troncature pourront elre utilisees pour que e' ou y presenlenl la meme longueur que le pa- 
rametre originel. 

Deuxieme mode de realisation de rinvention 

On decrira maintenanl en relation avec la figure 4 un deuxieme mode de realisation du procede de I'lnvention, 
dans lequel le message M est prealablemenl condense (c'esl-a-dire compresse, ou raccourci) par une fonclion de 
hachage h resistant aux collisions. On vise ici une application de I'invention a certaines techniques de Iransfert de 
messages ou une condensation des messages est realisee systematiquement. Les references utilisees pour designer 
les etapes du procede sont celles de la figure 2 pour les etapes classiques, el on conservera pour designer les elapes 
relevant de la presenle invention les references intercalaires deja utilisees en figure 3, afin de faire ressortir les equi- 
valences entre les deux modes de realisation. 

Operations realisees par le signatatre 

-^0 etape 5 : selon ce mode de realisation, I'etape 5 de calcul d'un parametre dependant du message M comprend 

deux sous-etapes referencees 5.1 et 5.2. 

etape 5.1 : calcul d'un parametre condense h(M)6ii message M, he[an\ la fonction de condensation precilee. 

Comme on I'a indique, cette etape de condensation ne decoule pas obligatoiremenl de I'invention mais peut exisler 
^5 pour d'aulres raisons. 

etape 5.2 : fractionnement de h(M) en deux paramelres hi, h2, de preference de meme longueur, et tels que h 
(M) - h1/lh2, « II » etant le symboie de la concatenation. Comme on le verra plus loin. Tun des deux paramelres 
hi ou h2{ai} choix) sera utilise a I'etape 20 pour le calcul du parametre e selon la relation (2), el I'aulre parametre 
50 h2 o\j hi k l*etape 35 pour transformer au moins I'un des deux paramelres e, yde la signature en un nouveau 

parametre e' ou y. 

etape 10 : calcul d'un engagement c d'une valeur rchoisie au hasard. 
etape 20 : calcul du premier paramelre e = f(c,h1). 

55 Par comparaison avec I'etal de la technique, on voit ici que hi remplace M pour le calcul de a 

etape 30 : calcul du deuxieme parametre yen fonction de la cle secrete s du nombre r, el du parametre a 
etape 35/variante 1 : calcul de e' - e Fc h2, 
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/varianle 2 calcul de y - y Fc h2. 

Au cours de celte etape. declinee en deux varianles. le signalaire combine eou yavec un parametre dependant 
du message M. Fc designant comme precedemmenl une fonction de combinaison reversible, par exemple une ope- 
5 ration logique bit a bit comme le OU EXCLUSIF. ou une operation arithmetique. tci, le parametre dependant du message 
M est h2, Tun des deux termes resultant du fraclionnement de h(M), De preference, le fractionnement de h(M) est 
realise de maniere que h2 so\[ de longueur inlerieure ou de meme longueur que le parametre eou y. 

etape 40/variante 1 : envoi de A/fet de S= {e\y) 
w /variante 2 : envoi de A/f et de S = (e,y') 

Operations realisees par le verificateur 

etape 50 : reception du message M et de la signature S. 
'5 etape 51 : a ce stade du precede^ avant de retrouver le parametre originel eou y, le verificateur doit catculer le 

parametre h(M) resultant de la condensation du message M, puis les fractions rt/ et h2. Ainsi Tetape 51 comprend 
les sous-etapes suivantes : 

etape 51.1 : calcul du parametre condense h{M)6\j message M 
etape 51.2 : fractionnement de h{M) en hi, h2 , tets que 

20 

h(M) = hl\\h2 



etape 55/variante 1 : calcul de e= e* Fc ' h2, 
25 /variante 2 : calcul de y = y' Fc ' h2. 

Comme dans le cas du mode de realisation de la figure 3. cette etape consiste a retrouver grace a la propriete de 
reversibilite de la fonction de combinaison Fc le parametre originel eou yqui a ete transforms Une fois eou y retrouve, 
I'etape de verification classique peut etre realisee ; 

30 

etape 60 : verification de S 

L'homme du metier notera que dans ce deuxieme mode de realisation, if n'est pas necessaire que la fonction t de 
I'etape 20 soit une fonction de hacfiage a sens unique, etant donne que Ton injecte deja dans la signature le parametre 
35 ^ ; qui est issu d'une fonction de hachage resistant aux collisions. Ainsi. on pourra par exemple clioisir comme fonction 
Ala fonction OU EXCLUSIF 

De plus, 11 apparaitra clairement a l'homme du metier que ce deuxieme mode de realisation de I'invention est 
susceptible de nombreuses variantes de realisation. En particulier, le terme « fractionnement » doit etre compris au 
sens large, non pas comme designant uniquement une operation de troncature, c'est-a-dtre de coupure d'une chaine 
40 binaire en deux demi chaines binaires, mais comme designant toute operation portant sur h(M) permettant d'obtenir 
les deux parametres h1 et h2. Par exemple, h1 et /?2 pourraient resulter de I'application a h{M) de deux fonctions 
distinctes f1 et t2. comme suit : 

^5 h1 = f1(h(M)),e\ 

h2= f2(h{M)l 

so a la condition que toute modification de h(M), meme une modification d*un seul bit, entraine une modification de hi 
et/ou A)2(bien entendu. la presente remarque est applicable au fractionnement de g(M) engi ei g26ea'\\ plus haut 
en relation avec le premier mode de realisation de invention). 

Enfin, les deux variantes peuvent etre combinees ; on peut transformer simultanemenl e en e* et y en y. 
On a decrit jusqu'a present le procede de {'invention sans detainer les etapes 10, 30 et 60. En effet. le procede de 
55 I'invention est applicable a tout type de signature numerique selon Tart anterieur et les etapes 10, 30 et 60 sont spe- 
cifiques a chaque procede. Les etapes 10, 30 et 60 seront maintenant detainees dans la description suivante d'exem- 
ples d'application de I'invention a une signature selon le modele de SCHNORR et ^ une signature selon le modele de 
GUILLOU-QUISQUATER. 
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Application de Tinvention a une signature numerrque selon SCHNORR 



Le procede de signature presenle par C P. SCHNORR a la conference CRYPTO 89 (voir references au preambule) 
est base sur la difliculte de calculer des logarithmes discrels. Les paramelres universels, c'est-a-dire parlages par tous 
5 les ulilisateurs (par exemple A et B de la figure 1), sont : 



un grand nombre premier p, d'une longueur recommandee d'au moins 512 bits, 

un nombre premier qqui divise p. d'une longueur minimale recommandee de 140 bits, 

un enlier B appele Base, repondant a I'egalite 8^ - 1 (modulo p) (ce qui signif ie : le reste de la division par p de S 
10 a la puissance q est egal a 1 ) 

une fonction t, typiquement la fonclion identite, une fonction a sens unique ou une fonclion de Ironcature, 



Par ailleurs. la cle secrete s d'un utilisateur est un entier choisi dans I'ensemble de valeurs {1...q}. 
Enfin, la cle publique C (connue de tous les utilisateurs) est telle que B^C - 1 (modulo p) (soil : le reste de la 
division par p de S a la puissance s multiplie par C est egal a 1 ) 

Application du premier mode de realisation de invention 

Le tableau 1 ci-apres decrit les operations a effectuer lorsque Ton applique le premier mode de realisation de 
I'invention au modele de SCHNORR. Ici. on a choisi de realiser la fonclion reversible Fc au moyen de la fonclion OU 
EXCLUSIF (©). Par ailleurs, x est une variable intermediaire permettant de calculer le parametre cd'engagemenl de 
la valeur aleatoire r. 

Dans ce tableau, au lieu de la fonction OU EXCLUSIF ®, une variante de realisation conslste a utiliser comme 
fonclion reversible Fc Toperalion addition modulo q, soil: 

etape 35/variante 1 : calcul de e' = e + (modulo q), 
etape 35/variante 2 : calcul de y = y + g(M) (modulo q), 
etape 55/variante 1 : calcul de e:i e' - g{M) (modulo q). 
etape 55/variante 2 : calcul de y= y - g(/W) (fnodulo q). 

1 1 s'agit alors d'une operation arithmetique (el non d'une operation logique bit a bit comme dans le cas de la fonction 
logique OU EXCLUSIF) qui peut entrainer une augmentation de 1 bit du parametre e\ mais une telle augmentation 
est insignifiante. De plus, on peut prevoir une Ironcature (coupure) de ce bit supplementaire si Ton souhatte rester 
exactement dans le meme gabarit que e. 

Bien entendu, les fonctions f- gei t sont des fonctions de hachages publiques. detenues par tous les utilisateurs. 

Par ailleurs. on voil grace a cet exemple d'application que la verification de la signature (etape 60) consiste effec- 
tivement a recalculer eet verifier que la valeur recalculee est egale a la valeur de e presente dans la signature S (e regu). 

Enfin. et comme on I'a deja indique plus haul, les variantes 1 el 2 peuvent etre combinees. 



•fo Application du deuxieme mode de realisation de Tinvention 

Le tableau 2 ci-apres decrit les operations qui resultent de I'application du deuxieme mode de realisation de Tin- 
venlion au modele de SCHNORR. 

A t'elape 35, il est egalement possible d'utiliser comme fonction reversible Fc I'addition modulo q, soit : 

45 

etape 35/variante 1 : calcul de e' = e + h2( modulo q) 
etape 35/variante 2 : calcul de y = y + /?2(modulo q) 
etape 55/variante 1 : calcul de e= e' - /72(modulo q), 
etape 55/variante 2 : calcul de y = y - /?2(modulo q). 

so 

Bien entendu, f, t et /?sont connues de tous les utilisateurs, ainsi que la regie de fractionnement de h(M) en hi et 
h2. Comme on I'a dej^ indique. il n'est pas necessaire dans ce deuxieme mode de realisation que ^soil une fonction 
de hachage h sens unique, un simple OU EXCLUSIF elant par exemple suffisanl. 



Application de I'invention a une signature numerique selon GUILLOU-QUISQUATER 

Le procede de signature presente par GUILLOU et QUISQUATER a la conference CRYPTO 88 est base sur la 
difficulle de facloriser des grands enliers. Dans la version dile « basee sur I'identite >» il est prevu une autorile de 
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confiance pour calculer les cles secretes sdes utilisateurs. Les parametres universels sont : 

un grand nombre entier n non premier (c'esl-a-dire un nombre divisible) dont les facteurs premiers sont connus 
uniquement de I'autorite de confiance, et d*une longueur minlmale recommandee de 512 bits. 
5 - un nombre entier premier u d'une longueur minimale recommandee de 72 bits. 

une fonction t, typiquement la tonction identite, une tonction a sens unique ou une tonclion de troncature. 

Ici. la cle publique Cdu signataire est son «identite» /. / etant par exemple une chaine binaire contenant des 
informations sur le signataire. La cle secrete s est une valeur telle que I - 1 {modulo n) (c'est-a-dire : le reste de la 
10 division par nde s a la puissance u multiplie par / est egal a 1 ). 

Application du premier mode de realisation de rinvention 

Le tableau 3 ci-apres decrit les operations qui resultenl de {'application du premier mode de realisation de rinvention 
IS au modele de G.Q. (GUILLOU-QUISQUATER) Dans ce tableau, la fonction reversible Fcest la fonction OU EXCLUSIF 
(©). et X est une variable intermediaire permettant de calculer le parametre cd'engagement de la valeur aleatoire r. 

Au lieu de ia fonction OU EXCLUSIF ft> (fonction Fc), une variante de realisation consisterail a utiliser comme 
fonction reversible Fc Taddition modulo n, soit : 

20 etape 35/variante 1 : calcul 6e = e + g[M) (modulo n) 

etape 35/variante 2 : calcul de y = y + g{M) (modulo n) 
etape 55/variante 1 : calcul de e- e' - g{M} (modulo n), 
etape 55/varlante 2 ; calcul de y = y - g(/W) (modulo n). 

25 Application du deuxieme mode de realisation de rinvention 

Le tableau 4 ci-apres decrit t'appllcatton du deuxieme mode de realisation de rinvention au modele de G,Q.. 
On rappelle que la fonction Fc peut etre I'addition modulo n au lieu de la fonction (B. Dans ce cas : 

30 etape 35/variante 1 : calcul de e' =: e + h2(modis\o n) 

etape 35/variante 2 : calcul de y - y + /72( modulo n) 
etape 55/variante 1 : calcul de e = e' - /i2(modulo n), 
etape 55/variante 2 : calcul de y = y - /72{modulo n). 

35 Egalement, il n'est pas necessaire dans ce deuxieme mode de realisation que / soit une fonction de hachage a 

sens unique. 

Dans ce qui precede, on a decrit ^ litre d*exemple deux modes de realisation de la presente invention et deux 
exempies d'application de chacun des modes de realisations. II apparattra clairement a I'homme du metier que la 
presente invention n'est pas limiteeces modes de realisations ni aux exempies d'applications qui ont ete donnes. De 
^0 fagon generale. la presente invention est en effet applicable a tout procede de signature numerique dont la definition 
generate a ete donnee au preambule en relation avec la figure 2, et notamment au procede de signature decrit dans 
la demande de brevet frangais 94 01271 au nom de la demanderesse. 

On trouvera ci-apres les tableaux 1 a 4 qui font partie integrante de la description. 

45 
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Tableau 1 



etapes 




upt?raiions leaiisct^a par le signaiaire 


ctapo 5 




^alf^iil Ho /^/ A/ft 




in 1 


r'h/^iv /Ho riHar^c /1 nl 
UMUIX Uc f Udilb { 1 ■■C/f 


10 5 


/^al^iil Wiirto \/3loiir v — RrymrvHiil/^ rt\ 
CdlLUI U UMc valcUl A — Cr^lilLHJUlU p) 


10.3 


calcul d'un engagement c - /^x^ 


etape 20 




caicul de e= f{c.M) 


etape 30 




calcul de y = r 4^ s e (modulo g). 




variante 1 


variante 2 


etape 35 




calcul de e' = e© g{M) 


calcul de y = y®g{M} 


etape 40 




envoi de /Wet de S - i^e'./yl 


envoi de M ef de S - (e,y') 




operations realisees par le verificateur 


etape 50 




reception du message Me{ de la signature S 


etape 51 




calcul de g{M) 




variante 1 


variante 2 


etape 55 




calcul de e - e'© g{M) 


calcul de y - y © g{M} 


etape 60 




verification : e tequ est-il egal a (modulo p)).M) ? 



Tableau 2 



etapes 


sous-etapes 


operations realisees par le signataire 


etape 5 


5.1 


calcul d'un parametre condense h{M) du message M 


5.2 


fractionnement de h(M) en hi, h2, lels que h{M) - h1\\h2 


etape 1 0 


10.1 


choix de rdans {l..q^ 


10.2 


calcul de X = S''(modulo p) 


10.3 


calcul d'un engagement c = /(x) 


etape 20 




calcul de e - f(c.h1) 


etape 30 




calcul de y = r + s e (modulo q). 




variante 1 


variante 2 


etape 35 




calcul de e' - e@ h2 


calcul de y = y® /?2 


etape 40 




envoi de Met de S- {e',y) 


envoi 6e Metde S- (e,y) 




operations realisees par le verificateur 


etape 50 




reception du message Met de la signature S 


etape 51 


51.1 


calcul du parametre condense h{M) du message M 


51.2 


fractionnement de h{M) en hi, h2 , lels que h(M) = h1\\h2 




variante 1 


variante 2 


etape 55 




calcul 6e e= ® h2 


calcul de y - y® h2 


etape 60 




verification : e regu esl-il egal a f(t(By (modulo p))..h1) ? 


Tableau 3 


etapes 


sous-etapes 


operations realisees par le signataire 
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Tableau 3 (suite) 







rplrul Hp nihA\ 




10.1 


choix ds fdans i^ n\ 


10.2 


calcul de x ~ /^'f modulo n\ 


10.3 


calcul d'un engagement c - t(x) 


etape 20 




calcul de e = ((c,M) 


etape 30 




calcul de y = rs^ (modulo n). 




variante 1 


variante 2 


etape 35 




calcul de - e@ g(M) 


calcul de y' -y© g{M) 


etape 40 




envoi de /W et de S - (e'.y) 


envoi de Met de S = (a/) 




operations reaiisees par le verificateur 


etape 50 




reception du message M et de la signature S 


etape 51 




calcul de g(M) 




variante 1 


variante 2 


etape 55 




calcul de e - e* © g(M) 


calcul de y = / © g(M) 


etape 60 




verification : e regu est-il egat a f(i(y^ (modulo n)),M) ? 


Tableau 4 


etapes 


sous-etapes 


operations reaiisees par le signataire 


etape 5 


5.1 


calcul d'un parametre condense /7(/W) du message M 




5.2 


fractionnement de h(M) en h1, h2 , tels que h{l\4) = h1\\h2 


etape 1 0 


10.1 


choix de Vdans {I n} 


10.2 


calcul de X = /^(modulo n) 


10,3 


calcul d'un engagement c - t(x) 


etape 20 




calcul de e= f(c,h1) 


etape 30 




calcul de y= r s® (modulo n). 




variante 1 


variante 2 


etape 35 




calcul 6e e' - e<S> h2 


calcul de y'-y©/?2 


etape 40 




envoi de /Wet de S - (e'.y) 


envoi de M et de S = {e.y) 




operations reaiisees par le verificateur 


etape 50 




reception du message M et de la signature S 


etape 51 


51.1 


calcul du parametre condense h(M)6\} message (M) 


51.2 


fractionnement de h(M) en h1, h2 , tels que h(M)=: h1\\h2 




variante 1 


variante 2 


etape 55 




calcul de e = e'® h2 


calcul de y= y ® /?2 


etape 60 




verification : e regu est-il egal a f(t{y^ (modulo n)).h1) ? 



Revendications 

1. Precede pour elaborer une signature numerique (S) resistant aux collisions, ladite signature (S) etanl destinee a 
accompagner un message {M) ^ signer, comprenant des etapes (10, 20. 30) d'elaboration d'un premier (e) et d'un 
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30 



deuxieme (y) parametres cle signature (S), caraclerise en ce qu'il comprend en outre : 

une etape (5) d'elaboralion d'un iroisieme parameire (9(M). h2) dependant du message (M) a signer, et 
une etape (35) de transformation d'au moins Tun desdits premier et deuxieme parametres (e. y) de signature 
(S) en un nouveau parametre (e*./) de signature, consistant a combiner, au moyen d'une fonction reversible 
(Fc). le parametre (e, y)a transformer et (edit troisieme parametre {g(M). h2). 

2. Precede selon la revendication 1 . caracterise en ce que ledit troisieme parametre {g(M), h2)es\ choisi de longueur 
inferieure ou de meme longueur que le premier (e) ou second (y) parametre avec lequel il est combine. 

3. Precede selon I'une des revendications 1 ou 2. caracterise en ce que : 



ledit premier parametre (e) est un code de hachage (f{c,M)) delivre par une premiere fonction de hachage a 
sens unique (0 recevant en entree une valeur (c) d'engagement d'une valeur (i) aleatoire et le message {M) 
'5 a signer, 

ledit deuxieme parametre (y) est determine a partir du premier parametre (e), d'une cle secrete (s) et de ladite 
valeur (r) aleatoire, 

ledit troisieme parametre est un code de hachage {g(M}) delivre par une deuxieme fonction de hachage (g) a 
sens unique recevant en entree le message (A^ a signer. 

20 

4. Precede selon la revendication 3. caracterise en ce que ladite etape (35) de transformation consiste ^ combiner 
ledit premier (e) et ledit deuxieme (y) parametres de signature respectivement avec une premiere (g1) et une 
deuxieme (g2) fraction dudit troisieme parametre (g(IVI)). 

25 5. Precede selon la revendication 3. caracterise en ce que ladite etape (35) de transformation consiste a combiner 
I'un desdits premier (e) et deuxieme (y) parametres de signature avec tedit troisieme parametre (g(M)). 

6. Precede selon I'une des revendications 3 a 5, caracterise en ce que lesdites premiere (/) et deuxieme {g) fonctions 
de hachage sent identiques. 



7. Precede selon Tune des revendications 1 ou 2, caracterise en ce que : 



ledit premier parametre (e) est delivre par une fonction (0 recevant en entree une valeur (c) d'engagement 
d'une valeur (r) aleatoire et une fraction {h 1) d'un code de hachage (h{M) ) delivre par une fonction de hachage 
-35 (h) resistant aux collisions recevant en entree le message (/W) a signer, 

ledit deuxieme parametre (y) est determine a partir dudit premier parametre (e), d'une cle secrete (s) et de 
ladite valeur (r) aleatoire. 

ledit troisieme parametre (h2) est une autre fraction {h2) du code de hachage {h{M) ) delivre par ladite fonction 
de hachage (h) resistant aux collisions recevant en entree le message {M) a signer. 

40 

8. Precede selon la revendication 7, caracterise en ce que la fonction (/) delivrant ledit premier parametre (e) est une 
fonction de hachage (/) a sens unique. 

9. Precede selon la revendication 7, caracterise en ce que la fonction (/) delivrant ledit premier parametre (e) est la 
•iS fonction OU EXCLUSIF calculee bit a bit. 

10. Precede selon I'une des revendications 1 a 9, caracterise en ce que ladite fonction reversible (Fc) est la fonction 
legique OtJ EXCLUSIF.calculee bit a bit. 

50 11. Precede selon I'une des revendications 1 a 10. caracterise en ce que lesdites etapes (10. 20, 30) d'elaboratien 
du premier (e) et du deuxieme (y) parametres de signature (S) sent realisees selon le precede de GUILLOU et 
OUISQUATER. 

12. Precede selon I'une des revendications 1^10, caracterise en ce que lesdites etapes (10. 20, 30) d'elaboratien 
55 du premier (e) el du deuxieme (y) parametres de signature (S) sent realisees selon te precede de SCHNORR. 

13. Precede de verification de la validite d'une signature numerique (S) elaberee selon le procede de I'une des reven- 
dication 1 a 1 2. caracterise en ce qu'il comprend : 
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une etape (51 ) d'elaboration dudit Iroisieme parametre (g(M), h2) dependant du message (M) a signer et 
una elape (55) consistanl a rannener a sa valeur originelle ledit nouveau parametre (e'. y')6e signature, en 
combinant au moyen de la fonction inverse {Fc^) de tadite fonction reversible (Fc) le nouveau parametre ^e*. 
y7 et ledit troisieme parametre {g{M} , h2). 
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FIG. 1 
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FIG. 2 (ART ANTERIEUR) 



SICaCVTAIRE 



10- 



20-- 



30-- 



40- 



calcul d'une valeur d' engagement c d'une 
valeur r choisie au hasard 



calcul d'un premier parametre de signature 
e = f{c,M) 



calcul d'un deuxieme parametre de signature 

y{s,r, e) ^ 



envoi du message M et de la signature 
S = (e,y) 



VEEOFICATEOR 



50-- 
60-- 



reception du message M et de la signature S 



verification de S 
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FIG. 3 

SIGNATAIRE 

calcul de g(M) 



calcul d'un engagement c d'une valeur r 
choisie au hasard 



calcul du premier parametre e = f{c,Mi 



calcul du deuxieme parametre y{s,r,e) 



30-- 



35-- 



40-- 



VARIANTE 1 


VARIANTS 2 


calcul de 
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